内部审计-第七章.pptx

《内部审计-第七章.pptx》由会员分享，可在线阅读，更多相关《内部审计-第七章.pptx（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部审计第七章内部审计技术第三节 内部控制自我评估第四节其他审计技术方法内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作。 内控自我评价（CSA- Control Self Assessment）被广泛地认为是一种有力的工具，它能够帮助管理层、审计人员和其他人员审视和评估组织的业务流程与内部控制的有效性。同时，CSA也被视为是一个组织里促进审计人员与业务人员之间互相交流的有效的互动与协作工具。在西方发达国家，CSA是一种被广泛

2、使用的内部审计技术和工具，通常是由管理层或业务人员直接参与考察和评估内部控制效果的过程。 在中国，随着公司管理水平的提升，和监管机构对公司内部控制的要求逐步明确和规范，CSA正在日益成为热门话题。五部委联合正式发布企业内部控制配套指引，在通知中明确强调：“执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告。”同时，配套指引中的企业内部控制评价指引为企业开展内控自我评价提供了一个共同遵循的标准。 CSA的主要好处有： 1.帮助各层级的基层员工更好地理解与内部控制和风险管理相关的责任与义务 2.由于参与者承担结果，因

3、此改善措施将会更加有效 3.因为专家、工作组能够快速地专注于主要风险与控制，CSA能涵盖更多重要的问题 4.增进所有层级之间的交流与沟通 5.通过教导参与者如何分析和报告内部控制，帮助提升整个组织的控制意识 实施内部控制自我评估有以下几个方面的： (一）有利于内部审计部门向组织证明其价值 (二）有利于获取事实真相 (三）可以有效地评价软控制 (四）有助于使每个职员参与内部控制 (五）有利于评价并控制风险（六）有利于使内部审计更具效率与效果 1.CSA的定义 CSA最早是在1987年由石油企业加拿大海湾公司（Gulf Canada）的内部审计团队开发并提出。 它的主要方式是：内部审计人员以客观的

4、视点，对业务流程进行评价，通过向相关的各部门经理、业务人员询问特定的问题，了解各个业务流程，并就业务流程相关问题进行讨论。 此后，这样的操作方法在加拿大、美国、英国、澳大利亚等国逐步开展。 1995年，IIA（首次给出CSA的相关定义： “在正式的书面化的流程中直接参与业务职能的管理者和或工作团队，对正在运作的流程有效性进行判断，并判断达成几个或全部业务目标的可能性是否得到合理确保。” 1998年，IIA给出了更新的CSA定义： “检查和评价内部控制有效性的程序。目的是为业务目标的实现提供合理保证。” 2.CSA的实施方法 CSA的实施方式按照大类可以分为“调查问卷形式”、“会议形式”和“管理

5、结果分析法”。 内部控制自我评估是一种自发的自我评估运营程序，它把传统的只由内部审 计人员从事的内控评价转由公司各部门参与作业的人员亲自评估，帮助他们认识 到内部控制不只是内部审计工作的责任，也不仅仅是高级管理层应关心的问题， 相反，应该把它看做是组织所有成员的事。 1.确定组织整体或职能部门的目标，识别其主要风险； 2.评估组织内部控制的适当性、合法性及有效性； 3.确认内部控制重大缺陷或存在严重风险的业务环节； 4.评估组织非正式的控制及其有效性； 5.评估组织的业务流程及其运作效率； 6.对控制自我评估中发现的问题提出改进建议。内部审计具体准则第21号内部审计的控制自我评估法 1) 调查

6、问卷形式（Questionnaire） 是制作问卷表、检查表，由该业务流程的管理者、业务人员进行回答的方法。检查表的内容可以按下述举例进行构思： 该业务流程十分重要的内容资产 对资产的威胁（不论发生频率的高低） 目前对于威胁的对策控制 发现威胁时损失的程度剩余风险 有较大影响剩余风险的实例 控制较大剩余风险的改善方案 改善活动方案问卷设计原则 1.合理性 合理性指的是问卷必须紧密与评价的内部控制主题相关。违背了这样一再漂亮或精美的问卷都是无益的。而所谓问卷体现内部控制调查主题其实质，是指在问卷设计之初要找出与评估调查主题相关的要素。 2. 一般性 即问题的设置是否具有普遍意义。应该说，这是问卷

7、设计的一个基本要求， 内部审计人员应该尽量避免问卷中出现一些常识性的错误。这一些错误不仅利于调查成果的整理分析，而且会使接受评估的部门轻视内部控制自我评价小组的能力和水平，最终影响评估的开展和结果。 3.逻辑性 问卷的设计要有整体感，这种整体感即是问题与问题之间要具有逻辑性，独立的问题本身也不能出现逻辑上的谬误。从而使问卷成为一个相对完善的 系统。 4.明确性 所谓明确性，事实上是问题设置的规范性。这一原则具体是指命题是否准确；提问是否清晰明确、便于回答；被访问者是否能够对问题做出明确的回答；等等。5.非诱导性非诱导性指的是问题要设置在中性位置、不参与提示或主观臆断，完全将皮 访问者的独立性与

8、客观性摆在问卷操作的限制条件的位置上。6.便于整理、分析成功的问卷设计除了考虑到紧密结合调查主题与方便信息收集外，还要考麽 到调査结果的容易得出和调查结果的说服力。这就需要考虑到问卷在调査后的瘙 理与分析工作。 2) 会议形式：又称辅助形式 (Workshop)从代表组织、业务的接受实验者，即管理者、业务人员中选择若干名人员。被选定的接受实验者就同一主题进行讨论，这种方法能引导出全员都能理解的结论。安排一名负责汇总讨论结果的“辅导员”，这位“辅导员”所起的作用是非常重要的。在辅导时，他不仅要听取各方的意见，并且要就与会各方的意见冲突及若干分歧点展开讨论。表1就各类会议形式进行了比较。 CSA引

9、导会议法又 有四种主要形式：以控制为基础的、以程序为基础的、以风险为基础的和以目标 为基础的。 控制基础形式主要关注已有控制的实际执行情况，也可能包括在工作组 之外的内控设计决策。在这种形式下，CSA引导者可以结合高层管理当局的主要 意图确定目标和控制技术，并对控制的执行情况与管理当局关于内控执行方面的 意图之间存在的差距进行。而且，这种形式在检查软控制（如管理当局的诚实 性）等方面是比较有效的。程序基础形式程序基础形式是对所选程序的业务执行情况进行检査，这种工作组的意 图是评价、更新所选取程序或使所选程序呈流水线性。除确定评价目标之外， CSA引导者还要在引导会议之前确定最能实现关键经营目标

10、的程序。程序基础形 式可能比控制基础形式具有更宽的分析范围，而且可以被有效地用来与质量行动 小组的倡议联合行动。风险基础形式风险基础形式注重甄别与管理风险。这种形式检査控制活动以确保其控 制关键的经营风险。这种形式更易于甄别主要剩余风险以便采取纠正行动，而 且，与其他方法相比较，这种形式可能带来更全球化的自我评价。目标基础形式目标基础形式关注实现目标的最好方法s目标可能由引导者确定，也可 能不由引导者确定，重要的是要从工作组那边获得重要的输人信号。工作组的目 的是弄清最好的控制方法是否已被选用，这种方法是否有效运行，以及所产生的 剩余风险是否在可接受的水平之下。 引导会议法有助于对选题进行交流

11、和探讨。研讨会的基调是双向发现问题和 共同分享信息。参加研讨会的对象应尽可能多，与讨论的业务流程相关的人员， 特别是风险薄弱环节的工作人员必须到场参加讨论。现场讨论应做到人尽其言， #有的观点都应记录在案。在采用引导会议法时，内部审计人员组织会议参与者 就会议专题展开自由讨论，并且做好信息的收集和反馈工作。 3) 管理结果分析法 (Management-producedanalysis)通过这种方法，管理层布置工作人员学习经营过程。CSA引导者（可以是一个内审人员）把学习结果与他们从其他管理人员和关键人员等渠道收集到的信息加以综合。通过对这些材料进行综合分析，CSA引导者建立起一种分析方法，使

12、得控制程序执行者能在他们的CSA工作中利用这种分析方法。 3. CSA的意义 业务人员通过填制调查问卷、参与会议、参与管理分析等CSA形式，认识到组织潜在的或者已经存在的风险，积极地应对内部控制审计，并采取相应的改善措施。最后，CSA能使大部分当事人都能萌生和具备与内部控制改善活动相关的意识。 同时，在经营环境剧烈变化的现代社会，对于持客观立场的审计人员而言，持续地追踪频繁实施革新的组织的所有业务流程是十分困难的。通过较审计人员更了解实务的管理者、业务人员参与审计过程，是应时代需求诞生的产物。 为了使作为内部审计的一部分的CSA发挥作用，有必要以审计人员作为主体，结合并平衡以前的方法与CSA，

13、更加有效率、效果地进行内部审计工作。 图1列示了有效运用CSA情况下的内部审计职能图与运用CSA之前的内部审计职能图的比较。内部控制缺陷的认定 内部控制缺陷包括设计缺陷和运行缺陷。企业对内部 控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部 控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照 规定的权限和程序进行审核后予以最终认定。 企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。 内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷，是指一个或多个控制缺陷的组

14、合，可能导致企业严重偏离控制目标。 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。内部控制评价报告至少应当披露下列内容： （一）董事会对内部控制报告真实性的声明。 （二）内部控制评价工作的总体情况。 （三）内部控制评价的依据。 （四）内部控制评价的范围。 （五）内部控制评价的程序和方法。 （六）内部控制缺陷

15、及其认定情况。 （七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。 （八）内部控制有效性的结论。 第四节 其他审计技术方法 、学习曲线分析法如果把人 们学习的过程，用时间和效率两个变量表示，内部审计人员可以绘制出一条曲 线，内部审计人员称之为“学习曲线”。在企业过程中，学习曲线描绘了这样一 个过程：当管理者（也包括审计师本身）对新的工作流程获得经验后，生产将 会具有更高的工作效率，或者具有更大的产出率或销售率。 学习曲线通常用一个百分比表示，当学习曲线为80%时，表示每多增加一 倍的产量，在生产上所需的时间就减少20% (或者说生产效率提高了 20%)。经 过长期经验的总结观察到：大多数

16、学习曲线在60% 80%。学习曲线通常被审计 人员用于评价新投人项目的生产绩效。 假定内部审计人员有新项目运行第一天的统计数据，数据表明在150单位的 产量水平上，每单位的生产时间平均为5分钟。根据这些统计数据应用学习曲 线，可算出一组标准，据此可评价实际绩效。.假定这些标准的预测如下：累计产量单位每单位的平均时间15053004（580%）6003.2（480%）12002.56（3.380%） 二、计划评审法（PERT) 计划评审法注重各项工作安排的评价和审计，是为了加强对大型综合项目的管理所进行的战略性评价和审计。 该评审法大概有以下步骤：描绘计划评审 图(或称应急网络图）；找出项目中涉

17、及的关键人物（指需要资源和时间完成的活 动）；一项活动的起点及终点（这里活动指不好用资源的事件）；项目的关键路径等。 如果内部审计师准备审计该项目的工作效率，项目所采用的方法可以与应 急网络图的所得结论进行比较。研制新产品的工序和时间工序工序代号所需时间（天） 紧后工作产品/工艺设计A60BCDE外购配套件B45J下料、锻件C10F工装制造1D20G工模、铸件E40H机械加工F18J工装制造2G30I机械加工3H15J机械加工4I25J装配调试J35无绘制计划评审图开始BCFADGIEHFJ结束计算各种关键路线的时间路线路线的组成各工序所需时间之和1A B J60+45+35=1402AC F

18、 J60+10+18+35=1233A D G IJ60+20+30+25+35=1704A EHJ60+40+15+35=150 三、灵敏度分析法 由于在决策的过程中，存在不确定性，这就涉及用工具评价结果和对这些不 确定性的决策的灵敏度。 例如，假设一个关于购买设备的决策，部分地已有一定 不确定性的期望现金流量的预测为基础。模拟研究可评价现金流量预测的变化， 是如何影响购买决策的. 蒙特卡罗模拟利用计算机通过随机行为模拟不确定性，然后几次估计制定模 型确定的一般特性。例如，如果管理人员认为现金流量低于预测的机会为3030%， 则计算机会通过随机数确定每一种模拟的可能性，以评价其对决策模型的影

19、响。模拟的问题在于其形成的费用高，而且总有得出的预测存在误差的可能。 蒙特卡罗模拟一般应用的情形包括公司计划、财务计划、研究与开发项目、 存货控制等。 “如果一怎样”分析 “如果一怎样”分析没有蒙特卡罗方法那么精确，它仅仅是在决策模型中代 人备选方案的可能性以确定何时修改决定结果。进行此项分析，也可以借助计算 机的帮助。 有许多财务计划和财务因素是相互影响的，例如，成本、价格直接影响到盈 亏平衡点的确定。“如果一怎样”分析对决策，特别是在评估风险时非常有用。 通过对被审核者的主要决策和预测应用“如果一怎样”分析工具，内部审计人 员可以在评估风险水平，并在决策中应该予以关注。 【案例1】 华中公

20、司审计室根据2012年度的审计计划安排对其所属的华中装备厂 进行了内部审计。 审计室李处长介绍，在审计过程中，审计人员对装备厂内部控制制度的健全及执行情况进行了符合性测试，因此，可以认为对装备厂 的审计就是内部控制审计。审计人员对装备厂内部控制审计所采用的方法主 要是： 内部控制审计 的方法： 1.内部控制调查的方法 2.内部控制描述的方法 3.内部控制初步评价的方法 4.内部控制符合性测试的方法 5.内部控制总体评价的方法 审计人员对装备厂内部控制审计后，发现内部控制和管理方面存在的问题有: (1)库外产成品的管理存在严重缺陷： (2)销售费用率过高； (3)技术人员不当兼职； (4)财务管

21、理方面存在不足试回答：1.华中公司审计室对装备厂的审计是否属于内部控制审计？2.华中公司审计室审计人员对装备厂内部控制审计所采用的方法是否得当？3.华中公司审计室审计人员对装备厂内部控制审计的深度如何？ 【案例分析】 。 1.华中公司审计室对装备厂的审计不属于内部控制审计的范畴。内部 控制审计准则没有对内部控制审计的概念进行界定。内部控制审计是审计人员采用独立的审计程序对被审计单位内部控制建立健全和执行情况进行的审 计，并仅就内部控制情况出具审计报告。实践中，人们经常把内部控制的符 合性测试与内部控制审计等同。2.华中公司审计室审计人员对装备厂内部控制审计所采用的方法，实 际上就是内部控制符合

22、性测试的方法。不过这些方法在内部控制审计中也是 经常使用的。内部控制审计准则第十九条规定：“内部审计人员可以采用 文字叙述、调査问卷、流程图等方法对内部控制进行描述和评价，并记录于 审计工作底稿中。”3.从华中公司审计室审计人员对装备厂内部控制方面审计所披露的问 题看，深度是不够的。 “内部控制包括控 制环境、风险管理、控制活动、信息与沟通、监督五个要素。”五要素的划 分方法和当前国际上关于内部控制研究的最新成果相衔接，这里的内部控制 是一个广义的概念，不仅仅是财务报表审计时所使用的局限于与财务信息有 关的内部控制，而是涉及组织活动的各个方面。按照内部控制审计准则的规 定，内部控制审计的内容应

23、涉及五个方面。 【案例2】华中公司审计室根据20012年度的审计计划安排对其所属的华中装备厂进行了内部审计，并确定探索对风险管理审计的新路子。 华中公司审计室李处长在安排年度计划时，考虑被审计者的风险程度， 合理进行审计资源的安排。华中装备厂潜在的被审计者共15个，包括行政 部门、分厂和相关工艺。目前有3位内部审计人员，他们每人每星期工作 40小时，一年有3周假期。 考虑到被审计单位的实际情况和有效的审计资源，华中公司审计室李处 长采用了根据风险大小确定具体审计对象的审计策略。在具体确定时，李处 长主要考虑了以下因素：1.上一次审计的曰期和结果；2.上次审计发现缺陷越多，说明控制有问题，越应审

24、计3.涉及的金额；4.潜在的损失和风险；5.管理层的要求；6.经营方案、制度和控制的重大变化；7.获取经营效益的机会；8.审计员工的变动及能力。 【案例3】华中公司审计室根据2005年度的审计计划安排对其所属的三 泰装备厂进行了内部风险管理审计。华中公司审计室李处长认为风险管理审 计应只关注华中装备厂的内部风险，并要注意分析以下因素：注意因素：国家法律、法规及政策的变化; ;经济环境的变化；科技的快速发展：行业竞争、资源及市场变化：自然灾害及意外损失；其他。1.华中公司审计室探索风险管理审计路子是否必要？华中公司审计室 李处长采用了根据风险大小确定具体审计对象的审计策略是否合理？华中公 司审计室李处长在具体确定审计对象时所考虑因素是否全面？2.华中公司审计室李处长关于风险管理审计只关注厂内的风险的说法是否正确？ 他要求审计人员注意分析的因素是否正确？